Chainguard, kötü amaçlı yazılımlara dayanıklı ve SLSA L2 altyapısında kaynaktan inşa edilen binlerce ortak JavaScript bağımlılıklarının güvenilir yapılarından oluşan bir koleksiyon olan JavaScript için Chainguard Kütüphaneleri yayınladı.
Her kütüphaneyi ve tüm bağımlılıklarını kaynaktan güvenli bir şekilde inşa ederek, JavaScript için Chainguard Kütüphaneleri, güvenlik ve mühendislik ekiplerine, JavaScript ekosistemindeki kütüphanelerin oluşturulması veya dağıtılması sırasında kötü amaçlı yazılımların eklenmediğine dair güven verir ve tehdit manzarasında önemli bir boşluğu ortadan kaldırır.
JavaScript ekosisteminde gösterilen risk
JavaScript ekosistemindeki risk teorik değildir. Bu ayın başlarında, milyonlarca geliştirici tarafından kullanılan bir dizi paket kötü amaçlı kod yoluyla tehlikeye atıldı. Geliştiricilerin haftada milyarlarca kez indirdiği NPM gibi popüler JavaScript kayıtlarına karşı yapılan bu kötü amaçlı yazılım saldırıları, dil kütüphanesi tüketimi için geleneksel mekanizmalara güvenme riskini gösterdi.
Bu kamu kayıtları, tüm ev sahibi eserlerin denetlendiğini garanti etmez ve dağıtılmış kütüphanenin kaynak koduyla eşleştiğine ve işletmeleri tedarik zinciri saldırılarına maruz bıraktığına dair güvence vermez. Sorunu birleştiren AI, JavaScript gelişiminde bir artış sağladı, bağımlılıkların hem hacmini hem de karmaşıklığını ve onunla saldırganların fırsatlarını çoğalttı.
Gartner’a göre, “Bir kaynak, yazılım tedarik zinciri saldırılarından kaynaklanan maliyetlerin 2023’te 46 milyar dolardan 2031’e kadar 138 milyar dolara yükseleceğini tahmin ediyor.” RM ayrıca “2028 yılına kadar büyük işletmelerin% 85’inin bu risklerle mücadele etmek için yazılım tedarik zinciri güvenlik araçları kullanacağını” öngörüyordu.
JavaScript bağımlılıklarında kötü amaçlı yazılım saldırılarını azaltmak
JavaScript için Chainguard kütüphaneleri ile Chainguard, geliştiricilerin uygulamalar oluşturmak ve dağıtmak için güvendiği dil bağımlılıkları için koruma sunar. Şimdiye kadar, güvenlik ekiplerinin mühendislik iş akışlarını ve verimliliği bozmadan ölçekli yazılımları ölçeklendirmesinin bir yolu yoktu. Bu boşluk, kaynakları boşa harcayabilecek, uygulama sırlarını çalabilecek, üretim sistemlerini kırabilecek ve hatta müşteri verilerini sızdırabilecek kötü amaçlı kod risklerine duyarlı kuruluşları bıraktı.
JavaScript için Chainguard Kütüphaneleri, JFrog Artifactory ve Sonatype Nexus gibi mevcut eser yöneticileriyle, uygulama güvenlik ekiplerinin geliştiricilerle nasıl çalıştıklarını karşılarken bu büyük güvenlik deliğini kapatmalarını sağlamak için entegre olur.
Java ve Python için Chainguard kütüphanelerinde olduğu gibi, Chainguard, her JavaScript kütüphanesi için her bağımlılığı kaynaktan geliştiriyor ve açık kaynak tedarik zincirinin yapım ve dağıtım bağlantılarında kötü amaçlı yazılım enjeksiyonuyla mücadele ediyor. JavaScript kütüphanelerinin gerektirdiği paylaşılan sistem bağımlılıklarının izole edilmesi ve yeniden inşa edilmesi, Chainguard’ın paketlenmiş yazılım bileşenlerinden kaynaklanan ek bir gizli saldırı vektörünü ortadan kaldırmasına olanak tanır.
“Chainguard, JavaScript kütüphanelerini kaynaktan ölçekte yeniden inşa eden ilk kişidir. Java ve Python için Chainguard kütüphaneleriyle dünyanın en popüler programlama dili olan JavaScript’e zaten tamamlanmış çalışmayı genişletiyoruz” dedi. “Kuruluşların kötü amaçlı yazılımları azaltabilmeleri, yazılımlarında tam olarak ne olduğuna dair net bir görünürlüğe sahip olabilmeleri için kaynaktan yayınladığımız her bileşeni yeniden inşa ediyoruz. Nihayetinde, geliştiricilerin sürtünme yaptıklarını ve dağıtımını değiştirmelerini istemeden güvenlik eklemelerini sağlayan güvenli, güvenilir bir javascript kütüphaneleri sunuyoruz.”
JavaScript için Chainguard Kütüphaneleri, şirketin açık kaynaklı yazılımı varsayılan olarak güvenilir hale getirme görevini daha da geliştirir ve müşterilere ürünleri daha verimli ve güvenli bir şekilde göndermeye daha fazla güven verir. Chainguard artık kuruluşların minimal, sıfır CVE kapları ve sanal makinelerle işletim sistemi ve çalışma zamanı ortamından başlayarak ve Python, Java ve şimdi JavaScript için dil kütüphanelerine sahip uygulama katmanına kadar daha fazla geliştirme yığınını güvence altına almalarına yardımcı oluyor.
“Popüler NPM paketlerindeki son uzlaşmalar, saldırganların yazılım tedarik zincirine kötü niyetli kod kaymasının ne kadar kolay olduğunu vurgular. Chainguard’ın bu paradigmayı yeniden inşa ederek, her javascript kütüphanesini kaynaktan yeniden inşa ederek, geliştirme ekiblerine ortak tedarik zinciri saldırılarını ortadan kaldıracak ve aslında topluluğa sahip olmak için bir kaynak sağlayacak, aslında kaynak topluluğuna sahip olacaklar, ancak kaynak topluluğuna sahip olmak için bir yol sunacaklar. Polislik ticari varlıklara düşüyor, ”diyor Okta güvenlik mimarı Rob Gil.
Redmonk kıdemli analisti Kate Holterhoff, “JavaScript uzun zamandır modern uygulama gelişiminin belkemiği olmuştur, ancak ekosistemin bağımlılık yayılımı ve güvenlik boşlukları risklerle birlikte geliyor” diye açıklıyor Redmonk kıdemli analisti Kate Holterhoff. “Chainguard’ın kütüphaneleri kaynaktan yeniden inşa etme kararı, kötü amaçlı yazılımlara daha fazla direnebilen güvenilir bir JavaScript bağımlılıkları sağlayarak bu riskleri ele alıyor.”
JavaScript için Chainguard kütüphaneleri artık kapalı beta’da mevcuttur.